中小學校園局域網防ＡＲＰ病毒一例

關鍵詞:ARP；雙綁定；防火墻

單位局域網連入互聯(lián)網后經常受ARP攻擊，命令行格式下用ARP -a查看，出現(xiàn)多個IP與MAC行或MAC紊亂。此病毒通過對路由器ARP表的欺騙及對內網計算機的網關欺騙手段截獲網關數(shù)據偽造網關造成網內其它計算機的通信故障，即病毒機自已偽裝成路由器，使真正的路由器暫時“休眠”，通過這臺病機收發(fā)數(shù)據，可導致網絡不通、癱瘓，使網管員疲于應對。

設置靜態(tài)IP，路由器與各終端計算機雙向綁定IP與MAC，結合使用ARP防火墻起到其攻擊保護作用，保持本機的物理地址不被惡意篡改，網絡不會中斷，第一時間處理病機，可有效防治ARP在網內泛濫。

1 雙綁定

雙綁定主要是各終端計算機與路由器之間的互綁，前提是各終端計算機必須設置靜態(tài)IP且綁定路由器網關的IP與MAC；路由器必須帶MAC地址綁定的功能，包括LAN網關IP與MAC綁定及各終端計算機IP與MAC綁定。

1.1 終端計算機綁定

(1) 本身IP與MAC綁定

每個終端計算機IP與MAC綁定，二者合一作為單獨的身份標識。本網段為192.168.1.x。設置TCP/IP協(xié)議，使用下面的IP地址，即設置靜態(tài)，本機地址：192.168.1.200，子網掩碼：255.255.255.0，默認網關：192.168.1.1，DNS為x.x.x.x（ISP提供）。

(2) 綁定網關IP與MAC

進入路由器配置界面看到局域網接口配置:IP為192.168.1.1， 子網掩碼為 255.255.

255.0， MAC Address為00-0e-a0-00-5b

-ab 即網關及其MAC。

新建文本文檔，輸入如下內容：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE

\\Microsoft\\Windows\\CurrentVersion\\Run]

\"ARP\"=\"ARP -s 192.168.1.1 00-0e-a0

-00-5b-ab\"

文件另存為文件名（任意）：x.reg，保存類型為：所有文件，編碼為：ANSI，最后保存，形成一個注冊表文件。

把此注冊表文件分別寫入每個終端計算機，完成終端綁定。

1.2 路由器綁定

首先正確配置好網關，然后綁定各終端計算機對應IP與MAC。路由器具有DHCP功能，可以用批量導入和手工填加綁定終端計算機。這樣只有網管員控制路由器內綁定的計算機才能訪問網絡，任何陌生的及本機IP與MAC不對應的計算機則不允許進入網絡。

2 各終端計算機設置ARP防火墻及殺毒軟件

目前局域網專用攔截ARP軟件很多，可自行安裝，如36O安全衛(wèi)士ARP專用防火墻和ARP終結者，均及時監(jiān)控、鎖定ARP病機。